יש שתי קטגוריות של כלים מומלצים לביצוע בדיקות האבטחה של אפליקציית רמה 2: מוגדר מראש וכלים מותאמים אישית. כלי הסריקה שהוגדרו מראש הם OWASP Zed Attack Proxy (ZAP) לסריקה דינמית, ו-Fluid Attacks* לסריקה סטטית. קובצי התצורה נוצרו עבור הכלים האלה וניתן למצוא אותם בקטע הסריקה שהוגדרה מראש שבהמשך.
אין צורך להשתמש בכלים שהוגדרו מראש אם כבר מתבצעת סריקה של האפליקציה עם פלטפורמות תואמות ל-CWE. במקרה כזה, צריך להעלות מדיניות שמציינת אילו מכשירי CWE אתם סורקים. ניתן למצוא הוראות נוספות בקטע 'סריקה מותאמת אישית' בהמשך.
* הערה: כלי הסריקה הסטטית שהוגדר מראש לא תואם לאפליקציות TypeScript או JavaScript. אם האפליקציה שלך מתוכנתת ב-TypeScript או ב-JavaScript, עליך להשתמש באחד מהכלים המותאמים אישית לסריקה סטטית.
סריקות מוגדרות מראש
| כלי הסריקה | Web |
Mobile |
Local |
API |
Extension |
Serverless |
הוראות |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
יש להשתמש במאגר OWASP ZAP ; ZAP Docker כדי לבצע סריקות דינמיות אוטומטיות (DAST) מול האפליקציה שלך. קובצי תצורה מוגדרים מראש כבר כוללים את כל רכיבי ה-CWE הנדרשים. כל מה שצריך לעשות הוא להוסיף אותו לסביבה ולהריץ את הרצת Docker. מתחילים כאן |
||||||
FluidAttacks Free & Open Source CLI |
משתמשים ב- FluidAttacks בקוד פתוח של CLI כדי לבצע סריקות סטטיות אוטומטיות (SAST) מול האפליקציה. יצרנו תמונת Docker כדי לכלול את כל מפתחי ה-CWE הנחוצים. פשוט גוררים את המאגר ומפעילים את פקודת הסריקה שבו. מתחילים כאן |
כלים מותאמים אישית DAST / SAST
תוכלו להשתמש בכל הכלים לסריקת אפליקציות שתואמים ל-CWE שעומדים בדרישות הסריקה המותאמות אישית של CASA.בהמשך מופיעה רשימה של אפשרויות מסחריות וקוד פתוח (רשימה חלקית) המופיעות ככלים תואמים ל-CWE.
מתחילים כאן